繼金山披露奇虎360涉嫌國(guó)內(nèi)互聯(lián)網(wǎng)重大網(wǎng)民隱私泄露事件后,360也再一次將矛頭指向金山。
前日(1月3日),,360公司公開表示,通過(guò)百度,、谷歌、搜狗,、必應(yīng),、搜搜等各大搜索引擎,可以搜索到大量金山從用戶電腦上傳的網(wǎng)址記錄,,其中不乏用戶名和密碼,。通過(guò)金山官方的pc120.com網(wǎng)站,任何人都可以公開查詢到這些網(wǎng)址,,包括其中包含的用戶名和密碼,。
就在去年12月31日,金山緊急召開發(fā)布會(huì),,披露國(guó)內(nèi)互聯(lián)網(wǎng)重大網(wǎng)民隱私泄露事件:360客戶端正悄然收集其用戶的個(gè)人隱私資料,,其中包括用戶訪問(wèn)網(wǎng)站記錄、搜索記錄以及用戶名密碼等諸多信息,,而更進(jìn)一步的是,,這些資料目前已經(jīng)從360官方服務(wù)器上向外界擴(kuò)散。
值得注意的是,,昨日下午,,金山網(wǎng)絡(luò)替換了其官網(wǎng)首頁(yè)
“360泄密”事件相關(guān)文章,奇虎360則臨時(shí)取消了相關(guān)的媒體溝通會(huì),,雙方同時(shí)“收手”引起網(wǎng)民的極大關(guān)注,。有網(wǎng)友稱,或因?yàn)橄嚓P(guān)部門介入此事,。
風(fēng)波緣起
去年12月31日上午6時(shí)38分,,有網(wǎng)友在百度貼吧上報(bào)料稱:看看360都收集了什么,隨機(jī)發(fā)了相關(guān)鏈接地址,。
11時(shí),,金山網(wǎng)絡(luò)稱接到用戶舉報(bào),舉報(bào)者稱其在網(wǎng)絡(luò)上搜索到自己的用戶名和密碼等信息,,懷疑電腦中毒,,要求協(xié)助解決。
金山網(wǎng)絡(luò)工程師李鐵軍在接受《每日經(jīng)濟(jì)新聞》采訪時(shí)表示,,接到舉報(bào)后,,金山立即幫助用戶進(jìn)行解決排查,,并在解決過(guò)程中通過(guò)搜索引擎谷歌發(fā)現(xiàn)在互聯(lián)網(wǎng)上存在一個(gè)巨大的用戶隱私信息包,,經(jīng)過(guò)追蹤,,發(fā)現(xiàn)該隱私數(shù)據(jù)包來(lái)自360官方服務(wù)器,里面包含大量網(wǎng)民上網(wǎng)行為記錄以及用戶名,、密碼等信息,。
14時(shí),金山網(wǎng)絡(luò)技術(shù)部門召開緊急會(huì)議,,分析認(rèn)為此類數(shù)據(jù)并非安全軟件應(yīng)該收集的記錄,。這也就意味著,360是在用戶不知情的情況下收集隱私數(shù)據(jù),。經(jīng)過(guò)工程師進(jìn)一步對(duì)數(shù)據(jù)包分析,,發(fā)現(xiàn)其中包括網(wǎng)民在百度搜索關(guān)鍵字、淘寶購(gòu)物記錄,、金蝶等企業(yè)內(nèi)部財(cái)務(wù)網(wǎng)絡(luò)數(shù)據(jù),、某政府機(jī)構(gòu)官方郵箱用戶名及密碼等鏈接數(shù)據(jù)。
國(guó)際上知名互聯(lián)網(wǎng)安全組織OWASP中國(guó)區(qū)西南地區(qū)負(fù)責(zé)人Joey在接受
《每日經(jīng)濟(jì)新聞》采訪時(shí)表示,,在看到金山發(fā)布的消息后,,也曾經(jīng)到谷歌快照下載了從360服務(wù)器外泄的日志文件�,!坝捎�360第一時(shí)間就刪除了該數(shù)據(jù),,但是在谷歌的快照里還可以下載,不過(guò)要‘爬墻’,�,!�
Joey指出,在他所下載的總量不超過(guò)10%的日志中,,感觸最深的就是,,這些日志中記錄了非常詳細(xì)的用戶信息,每臺(tái)電腦,,瀏覽了什么地址,,打開了哪些頁(yè)面,搜索了什么關(guān)鍵詞,,“甚至有一部分用戶名密碼都在里面,,光我下載的部分,涉及到用戶名密碼的就達(dá)到200多個(gè),�,!�
泄密確有其事?
Joey認(rèn)為,,“360收錄的確實(shí)是隱私內(nèi)容,�,!睋�(jù)其透露,在利用360收集的用戶行為日志中找到了攜程某代理商的身份認(rèn)證信息,,并成功進(jìn)入該代理商的攜程管理后臺(tái),。從他手里掌握的已經(jīng)過(guò)濾的達(dá)幾百個(gè)密碼文件,因?yàn)闀r(shí)間問(wèn)題并沒(méi)有挨個(gè)進(jìn)行驗(yàn)證,,不過(guò)都是各類管理系統(tǒng)后臺(tái),、論壇、郵箱,。
《每日經(jīng)濟(jì)新聞》從某安全廠商下載到的360服務(wù)器泄露的log文件中看到,,360日志記錄十分詳盡,例如某用戶在2010年12月8日至20日的23個(gè)日志中出現(xiàn)了268次,,記錄了該用戶訪問(wèn)QQ空間,,下載軟件,看在線電影,,使用百度搜索引擎的所有瀏覽頁(yè)面行為,。此外,可看到網(wǎng)購(gòu)用戶姓名,、郵箱,、手機(jī)、送貨地址,、訂單金額,、快遞費(fèi),下單時(shí)間精確到秒,。
以20101216-urlreport.log為例,,其記錄了上海淘寶用戶牛小姐12月16日,在淘寶網(wǎng)上購(gòu)買了一款“秋冬羊毛呢百褶裙109送皮帶”,,拍下該物品的時(shí)間為2010年12月16日晚10時(shí)54分,,上述信息均在360的日志中記錄,其中包括牛小姐的電話,、住址,、網(wǎng)絡(luò)訂單號(hào)等詳細(xì)信息。
記者隨后從牛小姐處確認(rèn)了上述信息均為真實(shí)有效信息,,牛小姐也證實(shí)自己是360的用戶,。
對(duì)此,淘寶公關(guān)人士對(duì)記者表示,,目前淘寶網(wǎng)絡(luò)信息安全部已獲知該信息,,也已介入調(diào)查,相關(guān)細(xì)節(jié)暫無(wú)法對(duì)外公布,。
360回應(yīng)引質(zhì)疑
在針對(duì)金山質(zhì)疑其收集用戶的隱私聲明中,,360表示沒(méi)有收集任何的用戶名和密碼信息,,實(shí)際情況是極少數(shù)具有安全漏洞的網(wǎng)站將用戶名和密碼信息編寫在網(wǎng)址URL中,以便傳遞給其服務(wù)器進(jìn)行身份認(rèn)證,,而360軟件在通過(guò)惡意網(wǎng)址庫(kù)云查詢這些URL網(wǎng)址時(shí),,并不會(huì)主動(dòng)去識(shí)別其中的用戶名和密碼,因此會(huì)在網(wǎng)址云安全查詢?nèi)罩局杏涗涍@些URL,。對(duì)于鑒別出的正常網(wǎng)頁(yè),,其URL網(wǎng)址記錄會(huì)自動(dòng)從日志文件中刪除。
金山網(wǎng)絡(luò)CEO傅盛表示,,360作為一家安全軟件企業(yè),通過(guò)云安全收集惡意網(wǎng)址庫(kù)是理所當(dāng)然的,,但像淘寶這樣的知名大網(wǎng)站,,并不是惡意網(wǎng)址庫(kù)需要收集的。
Joey也指出,,360白皮書中確實(shí)承認(rèn)“如果您訪問(wèn)的網(wǎng)址不在黑白名單列表中,,360安全瀏覽器會(huì)發(fā)送到360的服務(wù)器”,但像淘寶這樣的大網(wǎng)站居然不在360的
“黑白名單列表”中,,就不可思議了,。
針對(duì)上述質(zhì)疑,360方面表示,,當(dāng)未知掛馬網(wǎng)頁(yè)觸發(fā)360網(wǎng)盾報(bào)警時(shí),,用戶可能會(huì)同時(shí)打開很多個(gè)網(wǎng)頁(yè)。目前技術(shù)上無(wú)法準(zhǔn)確判斷是哪個(gè)網(wǎng)頁(yè)觸發(fā)了報(bào)警,,360網(wǎng)盾會(huì)將觸發(fā)報(bào)警時(shí)用戶同時(shí)打開的網(wǎng)址(URL)一起上報(bào)至服務(wù)器,。這也是為什么可疑惡意網(wǎng)址日志文件中會(huì)包含一些知名網(wǎng)站和內(nèi)網(wǎng)網(wǎng)址的原因。
“從技術(shù)上準(zhǔn)確判斷哪個(gè)網(wǎng)址觸發(fā)報(bào)警其實(shí)并不困難,。但是,,從泄露出來(lái)的日志信息來(lái)看,這些正常網(wǎng)址所占比例很高,,并不像是‘將觸發(fā)報(bào)警時(shí)用戶同時(shí)打開的網(wǎng)址一起上報(bào)至服務(wù)器’的,。”Joey表示,。
金山自擺烏龍,?
1月3日,金山旗下網(wǎng)站pc120.com也被曝光流出大量用戶隱私,,其中包括用戶名和密碼,,這些用戶名和密碼已被各大搜索引擎抓取。
360方面人士對(duì)
《每日經(jīng)濟(jì)新聞》記者表示,,在金山旗下網(wǎng)站大量用戶隱私信息被泄露之前,,360公司副總裁譚曉生在第一時(shí)間以郵件的方式通知了金山董事長(zhǎng)雷軍和CEO傅盛,,也收到了金山安全專家李鐵軍的郵件回復(fù)。
金山網(wǎng)絡(luò)市場(chǎng)部副總裁肖潔表示,,金山pc120.com是用戶主動(dòng)提交網(wǎng)址進(jìn)行查詢的獨(dú)立網(wǎng)站,,那些包含部分個(gè)人隱私的內(nèi)容數(shù)據(jù)是網(wǎng)友自己上傳的,金山已全部刪除這些信息,,并與收錄的搜索引擎積極聯(lián)系,,消除影響。
Joey表示,,經(jīng)過(guò)驗(yàn)證,,金山提供了一個(gè)入口:http:/wangzhi.pc120.com/供用戶用來(lái)檢驗(yàn)網(wǎng)址是否安全,而之前曝光的用戶隱私搜索出來(lái)的正是這個(gè)地址的處理日志,,“也就是說(shuō),,這個(gè)是用戶主動(dòng)發(fā)起的�,!�
“金山這個(gè)性質(zhì)不一樣,,360是主動(dòng)抓取用戶數(shù)據(jù),金山是被動(dòng)接受用戶提交,。不過(guò)金山也確實(shí)犯了錯(cuò)誤,,就是用戶提交的這些數(shù)據(jù)它沒(méi)有處理妥當(dāng),還是公開了,。這不能不說(shuō)也是個(gè)安全問(wèn)題,。”Joey說(shuō),。
一位不愿意透露姓名的安全廠商表示,,由于地區(qū)、人群分布的瀏覽報(bào)告對(duì)于電子商務(wù)非常有價(jià)值,,國(guó)內(nèi)許多有渠道的廠商都在做類似的數(shù)據(jù)分析,。
著名互聯(lián)網(wǎng)專家謝文在接受媒體采訪時(shí)表示,互聯(lián)網(wǎng)行業(yè)有個(gè)不成文的規(guī)矩,,只要用戶上了網(wǎng),,他的很多信息就都是可以看到的。包括谷歌,、百度等公司,,都會(huì)自然生成cookie,這個(gè)很容易被讀到,�,!暗@是產(chǎn)品提供商的問(wèn)題,現(xiàn)在要明確的問(wèn)題是,,360是否主觀故意在產(chǎn)品設(shè)計(jì)中系統(tǒng)地收集整理用戶隱私信息,,是否將這些信息進(jìn)行商業(yè)盈利,。”